AD DS Metadata Cleanup – Decommisioning a Domain Controller

por ·Sin comentarios

Hola a todos,

Hoy vamos a hablar y ver conceptos relacionados con una promoción, y despromoción fallida de un Controlador de dominio, y como limpiar el directorio activo con los datos que hacen referencia a ese DC que ya no lo es. Esta entrada viene a raíz de una consulta que se hizo en los foros de Microsoft Technet https://social.technet.microsoft.com/Forums/es-es/home

AD

La consulta en cuestión https://social.technet.microsoft.com/Forums/forefront/es-ES/673101b2-9247-4ff3-b42a-bcc6440a2280/quitar-manualmente-un-dc?forum=wsades decía lo siguiente:

Hola a todos.

Tengo un dominio, que migre de server 2003 a sever 2008 con adprep, etc…

Los nuevos servidores DC son Server 2008 y tienen los roles, catalogo global, etc…

Todo iba bien, pero aun tenia los DC viejos con Server 2003 com DC.

Resulta que ha habido un corte de la corriente electrica, y uno de los Sever 2003 que era DC se ha roto del todo. Era un HP que no tengo ya en garantia, y que tenia pesado retirar, por lo que no me merece la pena pagar por arreglarlo.

El caso es que como no le hice dcpromo, tengo que quitarlo a mano de AD.

Hace tiempo encontre un articulo sobre como hacer esto con Windows Server 2003, pero ahora hacerlo en Server 2008, ¿alguna idea de donde puedo encontrar un articulo sobre este problema?

Gracias.

Este es un claro ejemplo de utilización del procedimiento metadata cleanup, pero para explicar los procedimientos de Metada Cleanup …antes deberemos saber como llegamos al punto de querer realizar estos procedimientos.

¿Por qué?

Dentro de los posibles ¿Por ques? … no hay una razón lógica por así decirlo, si llegamos al punto de hacer un metadata cleanup, es porque algo ha fallado, y ese algo ha podido ser:

  • Promoción fallida de un nuevo Controlador de dominio, en mitad del proceso falla, o incluso ocurre algo que no sabemos.
  • La despromoción de un controlador de dominio falla o no se completa correctamente.

Mi intención no es analizar esos posibles fallos, simplemente que sepamos que en esos dos casos, puede quedar información referente a un DC que ya no existe en el dominio, y generar bastantes problemas.

vader

No es un tema baladí, y los que nos dedicamos a esto desde hace años sabemos que la ley de Murphy suele cumplirse, y si algo malo puedo ocurrir a veces ocurre, aquello que estaba planificado como un simple procedimiento fuera de horas se convierte en un problema, hasta que te suena el móvil y te comunican que el procedimiento se ha complicado, que no se puede eliminar el DC, o sigue figurando como DC en AD DS, que una promoción a Controlador de dominio de un servidor miembro ha fallado, y ya no deja hacerlo DC, si cunde el pánico el problema puede ir a mayores, ya que a veces por nerviosismo, o por impaciencia no se suele dar el tiempo necesario para la replicación, al análisis del problema, revisión de eventos, y se cometen errores.

Consejo: siempre hay que analizar los problemas en frío, no se deben tomar decisiones precipitadas, el Directorio Activo, DNS y otros servicios basados en la replicación, y topología de redes deben entenderse como servicios que han de replicar su información a través de distintos medios.

Analizar los eventos: es fundamental analizar los eventos, eso puede marcar la diferencia entre un buen administrador de sistemas, y uno mediocre, todo absolutamente todo queda reflejado en los visores de eventos, simplemente hay que saber leerlo.

Cuando hemos decidido que queremos eliminar DCs de nuestra organización tenemos claro que hemos de desinstalar los servicios de AD DS, y seguir los pasos que nos indica el asistente para quitar ese DC del actual dominio, es algo bastante sencillo, cada vez más, con cada nueva versión de Windows Server.

En teoría es un procedimiento muy sencillo, y casi nunca falla, pero en algunas ocasiones falla, y el estado en el que queda ese Controlador de dominio es extraño … eso que quiere decir, que ya no es un controlador de dominio, pero sigue figurando en la base de datos de DA como tal, no podemos eliminarlo, ni hacer nada sobre ese objeto, ha quedado en un estado inconsistente, y lo peor de todo puede generar problemas, de replicación, de autenticación, DNS … todo lo que se pueda ocurrir.

Llegados a este punto solo queda recurrir al temido METADATA CLEANUP … la verdad es que a este procedimiento siempre se le ha tenido mucho respeto, no es que sea algo complicado de ejecutar, ni que genere problemas, el problema es que si te equivocas de nombre de controlador de dominio … eliminas un DC que no es, y eso si que sería un desastre.

Bueno volviendo al tema que nos ocupa, no me enrollo más, Microsoft tiene muchos recursos donde detalla perfectamente como ejecutar este procedimiento, el tema del Metadata Cleanup ha variado bastante desde las versiones de Windows Server 2000 y 2003 hasta nuestros días.

Procedimiento Windows Server 2000, 2003 y 2003 SP1

Para las versiones de servidor Windows 2000 y 2003 hay un procedimiento, y a partir de 2003 SP1 otro.

http://support.microsoft.com/kb/216498/es-es?wa=wsignin1.0

El procedimiento para esta versión pasa por la utilización de la herramienta Ntdsutil.exe, no nos asustemos esta utilidad se instala automáticamente en todos los DCs.

Con la versión Windows Server 2003 SP1 Ntdsutil.exe además de eliminar los datos del DC, también elimina las conexiones de File Replication Service (FRS), e intenta transferir, o hace seize de los roles FSMO que tuviera el DC en cuestión a otro, esto lo hace de manera automática.

¿Que necesito para ejecutar el procedimiento?

  • Un DC desde el cual ejecutar Ntdsutil.exe.
  • Credenciales de Enterprise Admin, eso es ser miembro del grupo Enterprise Admins

¿Cual es el procedimiento?

Bien, una vez estemos conectados en un DC con una cuenta de dominio, que sea miembro del grupo Enterprise Admins, y seguimos los pasos indicados en la guía de referencia http://support.microsoft.com/kb/216498/es-es?wa=wsignin1.0

 

Procedimiento Windows Server 2008, 2012

Procedimiento Windows Server 2008 / Windows 2012

Con estas dos versiones de Sistema Operativo se han introducido diversas maneras de realizar el metadata cleanup, algunas de un amanera más sencilla, aunque la forma de hacerlo por linea de comandos sigue vigente, y yo es la que sigo usando.

  • Metadata Cleanup Ntdsutil.exe: es el método que hemos visto antes para Windows 2000, y 2003. Existen varias formas de hacerlo con los comandos al completo, con abreviaturas … es el método clásico de hacerlo.
  • GUI Desde la consola de AD Users and Computers eliminamos el objeto Domain Controller, que por defecto estará ubicado en la OU de Domain Controllers, pulsamos botón derecho sobre el DC, y eliminar.

image

Confirmamos que si y nos mostrará la siguiente ventana, donde marcaremos que este Controlador de dominio está permanentemente offline. De esta manera le estamos forzando a hacer el Metadata cleanup.

image

Si era Global Catalog el asistente nos volverá a preguntar si estamos seguros de realizar dicha operación, le indicamos que si, y se ejecuta el proceso.

 

Tareas posteriores / Confirmación

Lo lógico tras llevar a cabo una tarea como puede ser un Metadata Cleanup es comprobar que todo ha salido bien, y que no queda rastro de nuestro DC. En este punto vuelvo a insistir en que hay que dejar que la replicación de las particiones de DA se lleve a cabo, o forzarla, eso dependerá de cada uno de vosotros, de cada uno de vuestros entornos, en entornos internacionales, está claro que la replicación lleva más tiempo.

Las comprobaciones suelen ser sencillas, y pasan por comprobar lo siguiente:

  • Active Directory Sites and Services: Aunque las NTDS references son eliminadas en el propio procedimiento, no está de más revisar dentro del site donde se encontraba vuestro DC que no existe ninguna referencia a DC eliminado, si existiera se puede borrar.
  • DNS: Este punto es quizás el más importante, y es donde puede haber un mayor número de registros de nuestro DC eliminado. Hay que chequearlo a fondo y no dejar ninguna referencia a nuestro DC eliminado.
  • AD Users and Computers: Este punto es lógico, no es más que revisar que nuestro DC ya no aparece.

 

Referencias:

http://support.microsoft.com/kb/216498/es-es?wa=wsignin1.0

https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx

 

Un saludo,

DGM